xx楼办公网络方案参考

1、 . .页脚. XXXXXX数据网络系统设计方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc151285523 用户需求分析 PAGEREF _Toc151285523 h - 4 - HYPERLINK l _Toc151285524 工程概述 PAGEREF _Toc151285524 h - 4 - HYPERLINK l _Toc151285525 网络建设目标及要求 PAGEREF _Toc151285525 h - 4 - HYPERLINK l _Toc151285526 网络建设结构 PAGEREF _Toc151285526 h - 4 - HYP

2、ERLINK l _Toc151285527 需求分析 PAGEREF _Toc151285527 h - 5 - HYPERLINK l _Toc151285528 总体网络方案 PAGEREF _Toc151285528 h - 7 - HYPERLINK l _Toc151285529 总体网络设计原则 PAGEREF _Toc151285529 h - 7 - HYPERLINK l _Toc151285530 XXX楼办公部分有线组网方案概述 PAGEREF _Toc151285530 h - 8 - HYPERLINK l _Toc151285531 核心层 PAGEREF _To

3、c151285531 h - 9 - HYPERLINK l _Toc151285532 接入层 PAGEREF _Toc151285532 h - 10 - HYPERLINK l _Toc151285533 边缘层网络出口组网方案 PAGEREF _Toc151285533 h - 13 - HYPERLINK l _Toc151285534 有线网络组网优势说明 PAGEREF _Toc151285534 h - 14 - HYPERLINK l _Toc151285535 XXX楼办公部分无线组网方案概述 PAGEREF _Toc151285535 h - 14 - HYPERLINK

4、 l _Toc151285536 XXX楼办公部分WLAN需求 PAGEREF _Toc151285536 h - 15 - HYPERLINK l _Toc151285537 WLAN基础方案 PAGEREF _Toc151285537 h - 16 - HYPERLINK l _Toc151285538 L2/L3层无线漫游功能 PAGEREF _Toc151285538 h - 17 - HYPERLINK l _Toc151285539 无线网络组网优势说明 PAGEREF _Toc151285539 h - 19 - HYPERLINK l _Toc151285540 网络技术规划

5、PAGEREF _Toc151285540 h - 21 - HYPERLINK l _Toc151285541 IP地址规划 PAGEREF _Toc151285541 h - 21 - HYPERLINK l _Toc151285542 IP地址规划原则 PAGEREF _Toc151285542 h - 21 - HYPERLINK l _Toc151285543 IP地址管理 PAGEREF _Toc151285543 h - 22 - HYPERLINK l _Toc151285544 路由协议规划 PAGEREF _Toc151285544 h - 22 - HYPERLINK l

6、 _Toc151285545 VLAN规划 PAGEREF _Toc151285545 h - 22 - HYPERLINK l _Toc151285546 使用VLAN优点 PAGEREF _Toc151285546 h - 23 - HYPERLINK l _Toc151285547 三层交换技术 PAGEREF _Toc151285547 h - 23 - HYPERLINK l _Toc151285548 VLAN和MSTP的实现 PAGEREF _Toc151285548 h - 24 - HYPERLINK l _Toc151285549 VLAN配置方案 PAGEREF _Toc

7、151285549 h - 24 - HYPERLINK l _Toc151285550 业务间的安全隔离 PAGEREF _Toc151285550 h - 25 - HYPERLINK l _Toc151285551 H3C网络解决方案的优势 PAGEREF _Toc151285551 h - 27 - HYPERLINK l _Toc151285552 提供全线网络产品和解决方案 PAGEREF _Toc151285552 h - 27 - HYPERLINK l _Toc151285553 电信级的可靠性设计 PAGEREF _Toc151285553 h - 27 - HYPERLI

8、NK l _Toc151285554 跟踪最新IP技术，保持技术领先，产品兼容性好 PAGEREF _Toc151285554 h - 28 - HYPERLINK l _Toc151285555 具有自主知识产权的软硬件平台，高安全性 PAGEREF _Toc151285555 h - 29 - HYPERLINK l _Toc151285556 中文显示界面及操作手册，便于国内用户学习与使用 PAGEREF _Toc151285556 h - 29 - HYPERLINK l _Toc151285557 标准软件免费升级 PAGEREF _Toc151285557 h - 29 - HYP

9、ERLINK l _Toc151285558 遍布全国的厂商售后服务网络 PAGEREF _Toc151285558 h - 30 - HYPERLINK l _Toc151285559 全球发展最快的网络设备厂商 PAGEREF _Toc151285559 h - 30 - HYPERLINK l _Toc151285560 产品介绍 PAGEREF _Toc151285560 h - 31 - HYPERLINK l _Toc151285561 H3C S7506R多业务路由交换机 PAGEREF _Toc151285561 h - 31 - HYPERLINK l _Toc1512855

10、62 产品特点： PAGEREF _Toc151285562 h - 31 - HYPERLINK l _Toc151285563 产品规格： PAGEREF _Toc151285563 h - 33 - HYPERLINK l _Toc151285564 H3C S3600系列智能弹性交换机 PAGEREF _Toc151285564 h - 37 - HYPERLINK l _Toc151285565 产品简介 PAGEREF _Toc151285565 h - 37 - HYPERLINK l _Toc151285566 产品特点 PAGEREF _Toc151285566 h - 37

11、 - HYPERLINK l _Toc151285567 产品规格 PAGEREF _Toc151285567 h - 40 - HYPERLINK l _Toc151285568 H3C S3100系列智能交换机 PAGEREF _Toc151285568 h - 46 - HYPERLINK l _Toc151285569 产品简介 PAGEREF _Toc151285569 h - 46 - HYPERLINK l _Toc151285570 产品特点 PAGEREF _Toc151285570 h - 46 - HYPERLINK l _Toc151285571 产品规格 PAGERE

12、F _Toc151285571 h - 47 - HYPERLINK l _Toc151285572 无线控制器WX1200 PAGEREF _Toc151285572 h - 52 - HYPERLINK l _Toc151285573 产品特性： PAGEREF _Toc151285573 h - 53 - HYPERLINK l _Toc151285574 产品规格： PAGEREF _Toc151285574 h - 55 - HYPERLINK l _Toc151285575 AP2750 PAGEREF _Toc151285575 h - 57 - HYPERLINK l _Toc

13、151285576 产品特性： PAGEREF _Toc151285576 h - 58 - HYPERLINK l _Toc151285577 产品规格： PAGEREF _Toc151285577 h - 59 - HYPERLINK l _Toc151285578 SecPath F100-S防火墙 PAGEREF _Toc151285578 h - 61 - HYPERLINK l _Toc151285579 产品概述 PAGEREF _Toc151285579 h - 62 - HYPERLINK l _Toc151285580 产品特点 PAGEREF _Toc151285580

14、h - 62 - HYPERLINK l _Toc151285581 产品规格 PAGEREF _Toc151285581 h - 64 -用户需求分析工程概述开发区地块是有外商投资建设的地块，地块内包含多幢酒店和商场办公楼。XXX楼是其中之一。网络建设目标及要求XXX楼分为办公、酒店两部分。两者的数据网络系统建设相互独立。数据网络系统是整个数据通信的基础，XXX楼137层主要是办公部分，办公部分数据网络需提供以下应用功能及服务：办公楼物业内部数据通讯办公楼1层无线应用覆盖XXX楼办公1层内设置无线信息网络系统，为商业客户提供无线通信服务。无线通信服务包括互联网漫游、电子邮件发送、VPN透传建

15、立等，并支持IP移动通信。网络建设结构计算机网络系统在综合布线系统基础上由以下三部分构成：主干网覆盖建筑的各楼层通信干线，采用千兆位或百兆位以太网技术，以提供高速和大通信容量。局域网主要是连接在楼层配线架中的集线器上的工作站点和服务器构成的子网，子网通过集线器或路由器与主干网连接在一起。局域网采用百兆以太网。广域网是建筑与外界的数据通信链路，由此构成建筑内的开放网络系统，用户可通过快速以太网接入Internet。并辅之以无线接入、普通电话接入、光缆或DDN专线接入等方式，实现远程办公。根据实际使用情况在建筑内部可划分为多个独立子网，通过划分IP子网的方式把不同物理位置的成员组成一个协作团体，共

16、用服务器组，实现资源共用、信息互换，不同子网之间互不可见，从而隔离内部不同网段以提高内部安全性。建立完善的网络管理系统，加强内部的身份认证和权限管理以防范内部安全隐患。需求分析XXX楼办公部分数据网络项目需要覆盖建筑1层至37层，数据网络中心机房在地下二层，通过多模光纤线路连接各楼层配线间。目前各楼层配线间位置及数据信息点数量如下表所示：楼层弱电间1弱电间2双口(D/T)单口(D)单口(T)单口(W)双口(D/T)单口(D)单口(T)单口(W)B4F0000B3F0000B2F0000B2夹F0000B1F00001F6605912054F010001005F020004006F0100010

17、07F010001008F010001009F0100010010F0100010011F0100010012F0100010013F0100010014F0100010015F0100010016F0100010017F0100010018F0100010019F0100010020F0600040020夹F0500050021F0400060022F0100010023F0100010024F0100010025F0100010026F0100010027F0100010028F0100010029F0100010030F0100010031F0100010032F0100010033F0

18、100010034F0100010035F0100010036F0100010037F04000500合计6570596605数据网络系统应满足以下技术要求：应确保网络流量最大时优先级高的数据也能够得到传输保证。系统需确保项目内各类信息在存储、获取、传输和处理过程中保持完整和不被非法泄露。网络系统分别通过路由器接入Internet，对于Internet和内网的安全考虑硬件防火墙和入侵防御系统。对外的Internet服务器不但速度要快，I/O能力也必须很强以完成多种服务。1层公共区域铺设无线网络系统，无线网络应满足以下技术要求：系统采用Infrasturcture结构化网络模式系统能同时支持10

19、0个以上用户系统能支持DHCP，动态分配IP地址选用产品应通过WECA组织的IEEE802.1g标准产品兼容性测试，有“Wi-Fi”认证AP安装在天花板上相关位置。总体网络方案总体网络设计原则计算机网络系统设计必须要求按照统一规划、统一标准的原则，总体设计，提供一个技术先进、结构合理、安全可靠的综合网络平台，为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时，需要遵循以下原则：实用性和先进性采用先进成熟的技术满足各类业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。安全可靠

20、性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。灵活性和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据会展中心不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互

21、连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以网络设备必须采用智能化，可管理的设备提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最

22、有力的保障。XXX楼办公部分有线组网方案概述经过合理规划，针对XXX楼办公部分网络系统的具体需求，在总体网络设计时采用层次化和模块化设计。从网络的逻辑结构来看，结合网络系统建设的特点，在逻辑上采用三层结构构建：核心层、汇聚层及接入层。在实际物理连接上则直接采用二层结构，以提高网络接入的安全性及效率。（采用二层扁平化的结构，网络结构更清晰、扩展性好、便于管理维护、节省投资成本）通过应用以太网交换机设备，来构建XXX楼办公部分网络系统，使得整个网络系统具有先进性、稳定性、安全性等众多特点，完全可以满足实际应用的需要。网络拓扑图如下：核心层按XXX楼办公部分网络结构，网络设计以星形扩散，即中心核心层

23、，周围是接入层。核心节点的网络设备需要高速运送整个酒店网络的流量，设备承载的压力较大。因此核心节点的建设，通常必须遵循以下几个原则：1）高可靠性：支持双重冗余、负载分担的可热拔插管理交换模块，提供冗余配置，达到高容错性；支持模块热拔插，电源和风扇的全冗余。2）高性能：交换机必须有较高的转发性能，交换容量必须在300Gbps，L3包转发率在180Mpps以上。3）较高的千兆端口密度：交换机整机必须能提供较高密度的100M光纤端口和千兆端口，用于连接各类设备。因此我们认为核心交换机插槽必须在7个以上；整机光纤端口大于288个。4）支持丰富的业务功能：支持4K IEEE 802.3Q标准VLAN支持

24、，提供提供IEEE 802.3ad链路聚合。考虑到网络需要同时为物业内部业务和商业用户通过WLAN网络接入Internet提供服务，因此必须在网络中保证数据的安全性。能在不同VLAN之间提供L2L4层访问控制功能。5）支持完善的路由功能：支持多种路由协议，包括RIPv1v2、OSPF、IS-IS、BGP4等；支持等价多路径路由（ECMP），支持组播路由。；6）管理方便：通过本地或者远端（TELNET）CLI、SNMP，RMON实现广泛的管理；7）高安全性：支持802.1X等认证技术，支持RADIUS和网络登录认证。能够实现IP、MAC、Port捆绑。支持防DHCP欺骗功能，防止客户接入PC因为

25、私设了DHCP服务器而引起的网络应用问题。作为XXX楼办公网络的核心节点，负责各种业务数据流量的转发，是整个网络最核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。根据网络现状及规划，为提高中心节点的可靠性及处理能力，确保网络高效、稳定地运行，我们建议采用H3C公司的 H3C S7506R高端多业务路由交换机作为核心交换机。S7506R交换机的性能和功能完全满足核心节点高可靠性、高稳定性及高性能等方面的需求。H3C S7500系列高端多业务交换机是H3C公司面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机。其中的S7506R拥有8个插槽（包括

26、2个管理引擎模块插槽和6个标准模块插槽），交换容量最高达768Gbps，为新一代的企业网络解决方案提供了典范。它建立在强大的崭新的体系结构，融快速以太网、千兆以太网、万兆以太网接口和最先进的ASIC技术于一体，提供企业网络所需要的前所为有的性能、容量和控制能力。S7506R交换机可以配合多种不同交换容量的引擎，为了保证大流量图像数据传输的需要，我们建议在S7506R交换机中配置交换能力达到384Gbps的第三代引擎。交换机引擎实现冗余配置、电源实行N1冗错配置。确保设备自身的高可靠性。引擎自有的4个光纤GE，满足可能需要的光纤联网的要求。作为核心交换机，对H3C S7506R路由交换机进行引擎

27、和电源的冗余配置，确保设备自身拥有更高的可靠性；引擎上的4个千兆SFP端口（配置1000Base-SX端口子卡）通过多模光纤连接位于配线间IDF#1-1和IDF#2-B1的接入层交换机，48端口百兆SFP模块2块（配置72个100Base-FX端口）。其中70个100Base-FX端口通过多模光纤连接其余各楼层配线间的接入层交换机，另2个100Base-FX端口作为备份；48端口10/100M模块1块,则实现服务器等设备的高速连接。S7506R高端多业务路由交换机具体配置如表下示：型号描述数量核心交换机LS-7506R-AC-XGH3C S7506R以太网交换机交流主机-POE(含机箱,双电源

28、,软件,资料)1LS8M1SRPGHH3C S7500-交换路由模块-自带4个SFP千兆接口-Salience III 384G2LS8M1FT48EHH3C S7500-48端口百兆以太网电接口业务板E-(RJ45)1LS8M1FP48HH3C S7500-48端口百兆以太网光接口业务板-(SFP,LC)2SFP-FE-SX-MM1310-A光模块-SFP 100M/155M-多模模块-(1310nm,2km,LC)72SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)4LS8M1AC220PWRH3C S7500-交流电源模块1接入层接入层

29、的作用是完成用户的接入以及边缘策略（如用户接入安全认证、服务质量等）控制的功能。网络设备主要通过二层交换的方式进行数据传送。根据XXX楼办公网络网络的需要特点，接入节点的选择可以遵循以下几点：除IDF#1-1和IDF#2-B1配线间内接入交换机需要有较高密度的端口外，其他配线间下连的信息点数量都不多，因此选用的接入交换机双绞线端口数量不需要太多，但需要支持百兆光纤端口的上联。能划分多个VLAN，以满足不同的应用。为保证网络的兼容及标准性，接入层的交换机需要支持802.1Q协议，支持基于端口的VLAN划分。同时能支持同一个VLAN内的端口隔离功能，保证个客户之间数据的私密性。此外，接入层交换机必

30、须有QoS功能，从而为语音、视频等实时性应用提供服务保证；支持安全认证功能，支持802.1X认证和集中MAC地址认证功能，能实现对接入的用户实行身份认证功能。IDF#1-1和IDF#2-B1配线间下属由于有无线AP等设备接入的需要，因此接入交换机必须支持802.3af功能，能实现通过以太双绞线向AP等设备提供电力。同时因为信息点数量相对较多，接入交换机需要有至少24个10/100M端口,b并能提供千兆光纤上连端口。因此在IDF#1-1和IDF#2-B1配线间分别部署1台H3C公司的H3C S3600-28P-PWR-EI智能弹性路由交换机。实现10/100M桌面连接，同时配置1000Base-

31、SX 端口模块连接到核心交换机。H3C S3600系列智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术。特别适合作为需要高带宽、高性能和高扩展性的企业网络需求。S3600-28P-PWR-EI能够提供24个10100M端口和4位千兆SFP端口。硬件支持二/三层线速交换，支持RIP、OSPF动态路由协议。能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。H3C S3600

32、-28P-PWR-EI能够支持PoE（Power Over Ethernet），即可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802.3af线路供电标准，同时也可以兼容不符合802.3af标准的PD（Powered Device）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12.5W（使用交流电源）和15.4W（使用直流电源）。通过支持POE和Voice VLAN技术，S

33、3600系列交换机能够提供完美的数据和语音融合解决方案。其他各楼层配线间需要连接的信息点数量较少，主要用于连接空调机房、电房等，数据流量不大。因此本着满足实际应用，提高系统性能价格比的原则，我们建议在各配线间配置一台S3100-8C-SI交换机。H3C S3100系列千兆以太网交换机是华为-3Com公司设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和Qos控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，支持802.1x、集中MAC

34、认证等功能。S3100-8C-SI拥有8个10/100端口和一个扩展插槽。扩展插槽中可以支持百兆光纤或者千兆端口。在实际配置中配置1个100Base-FX 端口模块，连接核心交换机S7506R。各楼层接入交换机具体配置如表下示：型号描述数量IDF#1-1&IDF#2-B1接入交换机LS-3600-28P-PWR-EIH3C S3600-28P-PWR-EI以太网交换机主机,24个10/100Base-T POE,4个千兆SFP上行口,交直流双路供电2SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)2IDF#1-4IDF#1-37接入交换机LS

35、-S3100-8C-SI-ACH3C S3100-8C-SI以太网交换机主机,8个10/100Base-T,1个模块插槽,交流供电35LSN-IM挂耳组件35LS-2016C-FM1UA单端口百兆以太网多模光接口模块（1310nm,2km,SC)35IDF#2-4IDF#2-37接入交换机LS-S3100-8C-SI-ACH3C S3100-8C-SI以太网交换机主机,8个10/100Base-T,1个模块插槽,交流供电35LSN-IM挂耳组件35LS-2016C-FM1UA单端口百兆以太网多模光接口模块（1310nm,2km,SC)35边缘层网络出口组网方案为了保障内部网络不受外部的非法攻击

36、和访问，在广域网出口必须配置防火墙。网络系统中需要配置防火墙接入Internet。该防火墙应具备以下功能：XXX楼办公部分网络规模不大，因此并不需要非常高的数据吞吐容量，但应有多个FE端口。包转发能力在50Mbps以上。丰富的功能。支持各种单播和组播路由协议。支持L2TP VPN、GRE VPN、IPSec VPN等各种VPN技术。并支持内部硬件加密功能，3DES加密性能在30Mbps以上。全面NAT应用支持：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、S

37、IP等NAT ALG功能可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽。提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。根据应用需要，我们建议可以选用H3C公司的H3C SecPath F100-S防火墙。H3C SecPath F100-SSecPath F100-S防火墙是H3C公司为中小规模网络设计的专业网络安全产品，通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功能，同时可以降低与安全相关的总体拥有成

38、本以及部署的复杂程度，是网络安全解决方案的理想选择。SecPath F100-S防火墙数据包转发性能达到100Mbps，提供4个FE端口。不仅支持丰富协议的ASPF状态检测，而且具备强大的攻击防范能力，提供静态和动态黑名单过滤等特性，可提供丰富的统计分析功能和分级分类的详细日志。此外还可支持VPN特性、NAT特性，以及H.323等应用网关特性，提供完善的组网应用解决方案。完全满足以上所要求的功能和性能。建议Internet出口防火墙具体配置如表下示：型号描述数量NS-SecPath F100-S-ACH3C SecPath F100-S 主机-交流电源(4FE)1有线网络组网优势说明采用树型、

39、分层结构设计，网络层次清晰。采用高性能、高可靠、高扩展性设备构建网络平台，核心层采用万兆平台技术，技术先进，网络扩展性好。核心设备采用电信级的产品，支持双主控、双电源、单板热插拔等特性，设备可靠性高；网络链路采用备份方式，配合STP/RSTP/MSTP、VRRP等热备份协议，网络可靠性高。核心交换设备S7506R是基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能,对“宏码病毒”和“冲击波病毒”的攻击具有天生的防御能力，网络可靠性高。出口防火墙SecPath F100-S支持完善的VPN技术，安全性高。完善的QOS保障机制及智能交换技术保证网络高效、实用。网络可以平滑扩容，支持三网融合

40、。设备成熟、可靠，网上大规模应用。全系列H3C网络设备组网，管理、维护方便。XXX楼办公部分无线组网方案概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN实现数据传输具有以下显著特点：简易性：WLAN传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地

41、保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；XXX楼办公部分WLAN需求无线局域网建设的总体目标是：利用无线网络技术实现1层公共区域的WLAN覆盖范围，使商务客户能够随时随地、方便高效地使用网络；方便了商旅人士利用住店时间上网、办公；提升XXX楼办公部分网络环境，提高管理水平和效率，推动信息化建设；WLAN工程具体的建设目标是：采取通行的网络协议标准：

42、目前无线局域网普遍采用802.11系列标准，因此无线局域网将主要支持802.11g（54M带宽）标准，兼容802.11b标准，以提供可供实际应用的相对稳定的网络通讯服务；保证网络访问的开放性，适当考虑安全性；WLAN设备需要支持数据加密、用户认证、过滤等功能无线网网络结构要求：无线接入所需布设的AP通过有线网的接入层设备接入到局域网中，在接入层都提供相应的接口给无线网线。工程布线和安装要求：室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上或水平面上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板情况而定。安装过程中

43、应充分考虑防盗问题。供电部分：AP的供电可采用POE方式进行供电。产品能力要求要求：产品支持AES、WEP加密等安全标准；漫游切换；支撑QOS能力WLAN基础方案为方便无线网络管理及提供最优化性能，本方案选用H3C母公司美国3Com公司的全套无线交换网络系统。在本方案下，用户总共需要两种网络设备 (不包括无线网络卡)：3COM Wireless Switch WX1200以及 3COM AP2750。传统的无线网络架构，并没有Wireless Switch的概念，直接由AP连接上有线网络，数据的加解密及认证等功能，全部都在AP上完成；这种架构属于分布式架构，每个AP皆可独立运作，不但管理起来较

44、麻烦，欠缺整合式管理，且AP与AP之间并无沟通协调的动作，难以达成整个区域的覆盖规划及逐个AP的覆盖率调整，对Roaming功能及未授权AP的侦测与管制更是无法做到。无线AP由于必须遍布在整个建筑物中，本身有硬件失窃之虞，由于传统无线网络架构中，所有配置信息均存储在本地AP中，因此当黑客获得AP后，更可以得到整个无线网络的相关配置和安全设定，带来很大的安全隐患。更换AP则代表着必须重新设定，增加管理者不少的麻烦。新一代的无线网络架构改进了以上种种缺点，将加解密及安全管理工作全转移到无线交换机上面，而AP则走向”瘦AP”的架构，所有设定都在无线交换机上集中配置，然后向下发送到每个AP中，管理者不

45、需一个一个去设定AP，还能达到整合管理的功效；而由于“瘦AP”的硬件设计中没有本地固定存储原件，一旦被移出网络，失去了无线交换机，则存储在动态内存中的配置将完全丢失，使AP无法使用，因此不必担心设定外流的问题。更换AP也只需更换硬件，设定可由管理系统自动下发到AP，大大减轻了管理者负担。3COM Wireless Switch WX1200就是因应这种无线网络新趋势而发展出的无线网络安全管理设备，单台WX1200可以集中管理12个“瘦AP”。在本方案中，WX1200可透过酒店建成的有线网络设备连接到所有AP，并进行集中式管理。通过支持PoE功能的交换机（比如H3C公司的LS-3600-28P-

46、PWR-EI），AP可以经由网络线直接供电，不需要另外布放电源线，增加部署AP的便利性。AP可以根据需求在建筑物内灵活布放，以维持最佳覆盖率。3COM AP2750为“瘦AP”，主要负责射频的管理部分，亦是侦测网络内是否有非法AP的探测器；由于所有的安全管理动作都由无线交换机统一进行，因此可以实现用户在不同AP间平滑漫游（Roaming）的功能，以及AP之间射频的协调管理乃至负载平衡机制。由上述提及的各种不同软硬件架构而成的3COM 无线整体解决方案，乃是具备了高安全性、高机动性、易于管理的高效能无线网络，代表了下一代无线网络的发展方向，相信必能满足无线网络应用的各种需求。为集中管理之便利性，

47、建议将无线网络交换机部署在网络中心，负责所有无线网络用户之安全管理工作。根据XXX楼办公部分WLAN应用的实际需要，WLAN设备配置如下表所示：型号描述数量无线控制器3CRWX120695A3Com Wireless LAN Switch WX12001无线AP3CRWX275075A3Com Wireless LAN Switch Managed Access Point AP275010L2/L3层无线漫游功能3COM无线交换解决方案支持基于用户身份的跨三层漫游功能。当用户通过接入认证服务登录网络后，用户的身份认证信息会在网络中的所有无线交换机中存储。因此以后无论用户漫游到什么位置，他所接

48、入的无线AP都可以从相应无线交换机中获取用户的信息，包括VLAN划分，IP地址，访问权限等，并根据这些信息为用户提供相应的服务。如果用户漫游位置的无线交换机并没有与用户所属的VLAN直接连接，则交换机会自动建立一条数据隧道连接到包含用户所属VLAN的另一台无线交换机，并将用户的数据发送到相应交换机进行处理，因此不需要在所有的交换机上配置全部的VLAN信息。用户跨VLAN漫游实现见下图。由于所有的无线交换机都共享统一的用户登录信息，因此用户在漫游过程中其IP地址及相关访问权限保持不变，并且用户在漫游过程中不需要进行重认证，因此整个漫游过程非常平滑，这对于语音通讯的支持是至关重要的。网管人员还可以

49、根据需求对用户的漫游权限进行设置，限制用户的漫游范围。漫游权限的设置可以是基于用户的，也可以是基于用户组的。无线网络组网优势说明网络可靠性在3COM 无线解决方案，单AP故障时相邻AP可以自动调节增益覆盖盲区，同时作为后台数据交换和AP管理的无线交换机可以实现多台冗余备份和故障切换功能，从而实现真正意义上的高可靠无线网络设计。无线设备安全性在传统无线解决方案中，所有关于无线网络的配置信息都存储在每一个无线AP中，当无线AP丢失时，也就意味着所有的网络配置信息和安全认证信息可能被攻击者获得，从而轻易的获得对网络的控制。由于无线AP大都放置在公共区域内，因此很容易成为安全隐患。在3COM 无线解决

50、方案中，所有无线AP的配置信息都集中存放在网络中心的无线交换机内，在AP接入网络时自动下载到AP内存中，AP内存储的配置信息当AP电源中断时就会全部清除。因此即使攻击者将AP偷走也无法获得网络相关配置信息，从而大大提高了系统的安全性。用户接入安全性由于传统无线设备是家用级设备，因此只支持少量的安全接入认证方式，如SSID, MAC过滤等，不支持如802.1x，Web AAA等高等级企业安全接入认证方式，无法满足企业级网络安全需求。3COM无线解决方案可以支持所有主流的企业级接入安全认证方式，可以支持内置的认证服务器和外置的Radius服务器，从而为用户提供企业级无线安全接入认证服务。无线网络安

51、全性传统无线解决方案无法对非法接入的无线设备进行自动监测和隔离，无法防范由于非法接入设备带来的安全问题。3COM无线解决方案可以自动监测非法接入的无线网络设备，不仅包括直接接入到内网交换机上的无线AP，还可以监测到信号覆盖重叠的外部AP。在网管界面上可以图形化显示非法AP的物理位置信息，并可以根据用户的策略对非法AP进行强制隔离。无线漫游功能对于很多无线移动应用，如多媒体视频监控和无线手机等，都要求用户终端设备要能在不同AP间进行无缝漫游，同时保证用户的IP地址和访问权限不受影响。作为单一设备设计的传统无线AP无法实现多AP间的漫游功能，因此会造成企业很多应用无法实施。3COM无线解决方案全面

52、支持多AP漫游功能，无论用户移动到网络中的任何一个无线接入设备区域，用户IP地址，VLAN划分和相应访问权限都不受影响，真正实现移动办公应用。网络管理传统的无线AP只能进行单机管理和配置，用户必须一个一个地进行设备配置及修改，将来的软件升级也必须逐一进行。3COM的无线管理软件可以对全网设备进行图形化管理，所有AP的配置文件及系统软件均可进行集中管理，配置，修改和升级，使网络管理简单易行。对多媒体业务支持传统的无线AP只适用于纯数据的接入环境，没有相应的QoS机制支持多媒体应用。3COM无线AP可以支持基于语音的多媒体应用，通过QoS机制保证多媒体应用的平滑传输。综上所述，我们认为从各个方面比

53、较，3COM的无线交换解决方案都更适合于大规模的企业级无线网络应用，是用户的最佳选择。网络技术规划IP地址规划IP地址规划原则IP地址是被用来唯一地标识网络中主机及设备位置的一个属性，是IP报文转发及寻址的依据。IP地址也是最重要的网络资源之一。IP地址的分配及规划，直接关系着网络的建设及维护工作量，同时也会影响电子业务应用的开展。所以，必须对IP规划给予足够的重视。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。满足这些要求的IP地址分配技术有：可变长子网掩码技术(VL

54、SMVariable-LengthSubnetMask)和路径叠合（汇聚）技术(RouteSummarization)。总的来说，IP地址规划应该遵循以下原则：1 连续性：IP地址分配要尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；2可扩充性：IP地址分配处理要考虑到连续外，又要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；3 IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；4在公有地址有保证的前提下，尽量使用公

55、有地址，主要包括设备loopback地址、设备间互连地址。为了利于整个网络的统一管理及各种应用（如不同部门之间共享部分网络资源）的顺利开展。建议在对整个网络的IP地址进行统一规划，并在此前提下，兼顾已有网络，以减少对原有各部门网络的影响。IP地址管理IP地址的管理和分配采用动态及静态结合的方式。普通用户的IP地址由DHCP服务器动态分配；服务器，设备管理地址等需要固定IP地址，由网络管理部门静态分配。IP地址管理是用户管理的重要内容，也是构件完整的安全架构中不可或缺的一部分，应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。普通用户建议采用动态获取IP地址的地址分配方式，可以减

56、少IP地址分配的复杂度同时防止IP地址重叠的情况发生。为了防止动态IP地址用户私自配置静态IP地址以及恶意假冒他人IP地址可以启用DHCP特性，限制用户获取IP地址的方式只能为动态获取，私自配置的静态IP地址将无法正常接入网络。同时为了对用户的身份进行合法性验证可以在网络的接入层对用户的身份进行验证，验证方式可以根据实际情况进行选择，可以采用强制PORTAL认证、802.1x认证等多种认证方式。重要用户以及特殊用户（比如网管系统）可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址。具体的IP地址分配方案将在项目实施前与用户及集成商共同讨论并确定。路由协议规划在大型网络中，选择适

57、当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。在XXX楼办公部分网络中由于网络规模较小，支持L3交换的设备不多，为了节省网络设备的系统资源开销，可以使用静态路由的方式。VLAN规划本次系统设计所推荐采用设备均支持VLAN的划分，同时使用MSTP技术，可以提供多条数据的转发路径，从而实现负载均衡。MSTP在改进Spanning Tree的同时，保持了与IEEE 802.1D Spanning Tree的兼容性。MSTP部署在核心交换机和接入层交换机上，就可以有效保证网络的高可靠性。 VLAN（

58、Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 使用VLAN优点 1、控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2、提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体

59、性能和安全性。 3、网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。三层交换技术 传统的路由器在网络中有路由转发、包过滤防火墙、隔离广播等作用，而在一个划分了VL

60、AN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。 在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。三层交换机在对发往某一目的主机的数据包进行路由后，会产生一个MAC地址与IP地址的映射表，当发往同样目的主机的数据包再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见